Un nouveau type de ransomware visant les smartphones Android a été découvert par des chercheurs en sécurité de l’entreprise slovaque ESET. Si le nombre de victimes n’atteint pas les sommets, le processus de diffusion utilisé inquiète : le virus pille en effet la liste des contacts du téléphone et envoie un lien malveillant à l’ensemble d’entre eux.

La vigilance est de mise. ESET, une firme de cybersécurité slovaque, s’est fendue d’un billet publié le 29 juillet 2019 pour mettre en exergue l’émergence d’un nouveau ransomware au potentiel très dangereux en cas de propagation massive. Au moins actif depuis le 12 juillet 2019, le logiciel malveillant baptisé Android/Filecoder.C a tout d’abord fait son apparition sur les célèbres forums Reddit et XDA Developers.

Ce rançongiciel repose sur un principe simple : le pirate publie un lien (qui se dote par ailleurs d’un raccourcisseur d’URL de type bit.ly) ou un QR Code en les faisant passer pour du contenu pornographique, lequel contient en fait le fameux logiciel malveillant. Une fois installé sur l’appareil Android, ce dernier dérobe la liste des contacts de la victime et envoie un autre lien à tous les contacts du téléphone ciblé.

Mécanisme de chiffrage

Pour mieux se fondre dans la masse, le ransomware diffusé comporte 42 versions linguistiques, et s’adapte surtout à la langue (si elle est prise en charge) de chaque périphérique. En cliquant sur le lien, la personne visée télécharge ainsi une application qui fait apparaître un jeu en ligne de type « simulateur de sexe ». En réalité, le malware met en place un mécanisme de chiffrage en arrière-plan visant les données stockées.

Seuls les smartphones Android sont pour le moment touchés par ce ransomware. // Crédit photo : Jonathan Kemper via Unsplash.

Mais avant ça, il prendra le soin d’accéder à la liste des contacts et de diffuser le virus à tous les numéros du device. C’est d’ailleurs l’une des principales forces d’Android/Filecoder.C : sa capacité à se propager à grande vitesse s’il parvient à berner les utilisateurs. À noter que le logiciel n’a aucun impact sur les formats de fichiers Android .apk et .dex. Une fois les données chiffrées, un message apparaît et exige une rançon financière sous forme de bitcoin, équivalant à une somme comprise entre 94 et 188 dollars.

Une cinquantaine de personnes touchée

Pour accentuer la pression, le soi-disant nombre de fichiers chiffrés et un délai avant destruction de la data accompagnent le montant à régler. Ce qui poussera les victimes à régler la note le plus rapidement possible, bien que rien « ne permet d’affirmer que les données affectées soient perdues après 72 heures », indique l’entreprise qui a analysé le code du logiciel. Le fait est que les pirates usent d’une technique d’approche pour le moins efficace, puisque 59 personnes provenant de pays différents se sont déjà fait berner.

Selon les chercheurs, l’adresse Bitcoin utilisée, qui peut certes être modifiée par les hackers, n’a pour le moment enregistré aucune transaction. Pour endiguer le problème, charge à XDA Developers et Reddit de prendre le taureau par les deux cornes en supprimant les publications et en bannissant les comptes : c’est chose faite pour le premier, alors que le profil du pirate reste encore actif sur le second.

Partager sur les réseaux sociaux